FireFox, несмотря на свою тяжеловесность в работе по сравнению с Chrome или IE, обладает очень хорошей особенностью — коммьюнити браузера выпускает и поддерживает массу плагинов для отладки и тестирования веб-сайтов и веб-приложений, в том числе и для тестирования защищённости.
- Скачиваете плагин;
- Устанавливаете, перезапускаете браузер;
- Открываете нужную вам web-страничку;
- Открываете меню утилиты — обычно, Tools->Open «tool_name» sidebar;
- Выделяете элементы;
- Запускаете сканирование, по завершении которого генерируется отчёт.
https://addons.mozilla.org/en-US/firefox/addon/xss-me/
SQL Inject Me: для тестирования уязвимости на SQL -инъекции. Работает под FireFox 3.6.*
https://addons.mozilla.org/en-US/firefox/addon/sql-inject-me/
Access-Me: для тестирования уязвимостей доступа. Работает под FireFox 3.6.* На мой взгляд, наименее удобная из трёх.
https://addons.mozilla.org/en-US/firefox/addon/access-me/
Firebug: мощнейший инструмент для анализа кода и выявления багов и уязвимостей в веб-сайтах и веб-приложениях. Позволяет редактирование, отладку и просмотр CSS, HTML, JS, профилирование загрузки (н-р, при нагрузочном тестировании), выводит логи запросов между клиентом и сервером. Для работы Firebug требуется Firefox 3.0 и выше. Поддерживает огромное количество расширений, дополняющий его функционал.
https://addons.mozilla.org/en-US/firefox/addon/firebug/
Tamper Data: Приложения для перехвата и модификации HTTP/HTTPS заголовков. Удобно использовать при тестировании Session Hijack (подмена сессии изменением идентификаторов cookies).
https://addons.mozilla.org/ru/firefox/addon/tamper-data/
https://addons.mozilla.org/ru/firefox/addon/foxyproxy-standard/
Firesheep: расширение браузера Firefox использует сниффер пакетов для перехвата незашифрованных HTTP cookie популярных веб-сайтов, например Facebook и Twitter, передаваемых по сети. Таким образом оно позволяет перехватывать чужие сессии работы с сайтами. Полученные из сети сессии отображаются на боковой панели браузера, и пользователь может войти на сайт от имени другого пользователя путем двойного щелчка на его имени.
http://codebutler.com/firesheep?c=1